россия
+7 499 112 48 23
украина
0 800 211 575
+48 22 307 97 57
поддержка отдел продаж

Блог

Как защитить сайт от взлома

23 декабря 2019 Комментариев нет
Как защитить сайт от взлома

Любой интернет-ресурс, находящийся в открытом доступе, становится потенциальной мишенью для злоумышленников. Причин для взлома сайта может быть несколько, начиная от нанесения ущерба репутации вашей компании или получения материальной выгоды и заканчивая банальным хулиганством. Но в любом случае взлом нанесет урон сайту — потому стоит заранее изучить и способы, которыми пользуются злоумышленники, и методы, которыми можно злоумышленникам противостоять.


Способы взлома сайтов

При взломе сайта могут цели могут быть разными: 

  • Полный или частичный перехват управления ресурсом с возможностью копировать данные/базы данных, удалять, редактировать или публиковать информацию на страницах.

  • Полная или частичная остановка работы — сайт или просто «ложится», или же работает с перебоями (снижение скорости работы, неработоспособность отдельных функций).

  • Использовать ресурсы хостинга в целях злоумышленника - например, для запуска криптомайнера, размещения фишинговых страниц, рассылки спама и т.д.

  • Нередко злоумышленники взламывают сайты без четкой цели, для развлечения или оттачивая определенные навыки. 

В зависимости от поставленной злоумышленниками цели взлом может происходить по-разному. Наиболее распространенные способы:

  • SQL-инъекции, шеллы, XSS-атаки.

  • Взлом через SSH или FTP для получения доступа к административной панели сайта.

  • Брутфорс административной панели с подбором паролей и логинов.

  • Использование уязвимости в скриптах CMS и плагинах, которые позволяют прописать вредоносный код.

  • DDOS-атаки, при которых на сервер поступает большое количество запросов, что приводит к неработоспособности ресурса.

Стоит иметь в виду, что в ряде случаев взлом выполняется опосредованно, через менее защищенные сайты, расположенные на том же хостинге, что и сайт-мишень. При этом сначала злоумышленник получает доступ к менее защищенному ресурсу на хостинге, а затем страдают расположенные здесь же сайты с удовлетворительной (на первый взгляд) защитой. 

Здесь заметим , что у нас такая ситуация невозможна, т.к. данные разных клиентов надежно изолированы друг от друга. Но, в пределах одного хостинг-аккаунта у всех сайтов есть доступ ко всем данным, потому мы рекомендуем клиентам для каждого важного сайта зарегистрировать отдельный аккаунт на хостинге. 


Чем опасен взлом: возможные последствия

Взлом сайта — инцидент неприятный сам по себе, потому что любые неполадки в работе отражаются и на репутации компании, и на эффективности бизнес-процессов. Но при этом разные виды взлома могут приводить к разным последствиям:

  • При утере паролей или их смене злоумышленником владелец полностью теряет контроль над ресурсом и информацией, хранящейся на серверах.

  • DDOS-атака делает сайт неработоспособным, что критично для информационных порталов, новостных сайтов и интернет-магазинов (репутационные и финансовые потери могут быть колоссальными).

  • При краже баз данных все зависит от характера похищенной информации. Клиентская база обычно используется для спам-рассылок, платежные данные клиентов могут применяться для финансовых махинаций.

  • Сам сайт при взломе может использоваться как площадка для показа рекламы или для переадресации пользователей на страницы с вредоносными скриптами. В последнем случае любой посетитель вашего сайта рискует получить на свой ПК или смартфон несколько вирусов — большая часть из них настроена на получение доступа к устройству или хищение персональных данных.


Даже если прямых финансовых убытков и потери контроля удастся избежать, ущерб будет ощутимым. Сокращение трафика из-за технических проблем и ущерба репутации практически гарантировано. Кроме того, взлом сайта — это повод для санкций со стороны поисковых систем, потому пренебрежение безопасностью сведет на нет все вложения сил и средств в поисковое продвижение и SEO оптимизацию. 


Способы защиты

Чтобы не допустить взлом сайта, а при попытках несанкционированного проникновения успешно им противостоять, нужно принимать целый комплекс мер. Защита ресурса от взлома — это тот случай, когда «волшебной таблетки» не существует: нужно перекрывать все возможные пути поступления вредоносных программ, и постоянно работать над повышением уровня безопасности.

Здесь стоит выделить несколько направлений работы. Первая — это защита компьютера администратора. Самый простой способ получить доступ к ресурсу — контролировать ПК, с которого ведется управление. Потому наличие эффективного антивируса становится не просто желательным, а необходимым. 

Важно! Не стоит забывать о человеческом факторе. Администратор сам может использовать скомпрометированные пароли доступа — очень часто именно этим и пользуются злоумышленники. Решается эта проблема организационными мерами и налаженной системой контроля. Ну, и подбором администратора с достаточной квалификацией, конечно!

Кроме того, нужно принимать и другие меры — при этом максимальную эффективность они демонстрируют именно при комплексном внедрении.

Защита сервера

Предотвратить несанкционированный доступ к информации на сервере можно несколькими способами:

  • Разграничение уровней доступа к базам данных и другой важной информации.

  • Отслеживание действий пользователей, в первую очередь — того, что они вводят на сайте.

  • Систематическая смена паролей с использованием максимально безопасных (т.е. сложных и стойких к подбору методом брутфорса) сочетаний. 

  • Регулярное создание бэкапов.

Кроме того, эффективной мерой будет переименование папок и файлов (злоумышленники используют стандартные названия), а закрытие доступа к хостингу или многофакторная верификация входа (например, с подтверждением по SMS).


Надежный хостинг

Выше мы говорили, что очень часто взлом осуществляется опосредованно — в качестве «стартовой площадки» используются соседи по хостингу, не имеющие достаточной защиты. Но это — лишь одна из причин, по которым к выбору хостинга для сайта нужно подходить максимально ответственно.

На самом деле роль хостинга в обеспечении защиты от взлома переоценить сложно. Компании, предоставляющие такие услуги, заботятся о репутации — потому качественный хостинг сам делает все возможное для блокировки стороннего доступа. Плюсом будет и возможность создания бэкапов, и обширный инструментарий для разграничения уровней доступа, и даже адекватная техническая поддержка (если она действительно работает, то при попытках взлома помощь технического специалиста будет неоценимой).

Также рекомендуем использовать инструменты, которые предлагает хостинг-провайдер. Так, например, сайты наших клиентов регулярно автоматически сканируются на распространенные уязвимости и возможный взлом. Если вы получили такое предупреждение от хостера, на него стоит отреагировать как можно быстрее.

Надежная CMS со всеми свежими обновлениями

Система управления контентом — CMS — тоже нуждается в защите. Основной задачей здесь становится не только выбор CMS с хорошими показателями стойкости к взлому, но и регулярное обновление движка ресурса.

Как правило, чем новее установленная версия, тем меньше в ней ошибок и потенциально-уязвимых мест. Конечно, со временем появляются новые дыры в защите — но их разработчики «латают» достаточно успешно. 

Обновлять CMS можно либо автоматически, либо в ручном режиме. Использование обновленной версии значительно снижает риск успешных SQL-инъекций, атак с помощью шеллов или XSS.


SSL-сертификат

SSL-сертификат — это цифровая подпись вашего ресурса, в которой содержится доменное имя, сведения о владельце ресурса (предприниматель/юридическое лицо), адрес владельца и т.д. кроме того, в SSL-сертификат включают информацию о том, какая компания его выдел и о сроке его действия. 

Использование SSL-сертификатов позволяет эффективно защитить сайт от фишинга (кражи личных и финансовых данных), которые осуществляются путем взлома соседей по хостингу, получения доступа к phpMyAdmin или SQL-инъекций.

Для получения сертификата SSL необходимо обратиться в специализированную компанию, которая выдает цифровые подписи (процедура сертификации платная). Некоторые хостинги бесплатно предоставляют SSL-сертификаты для сайтов — если такая возможность есть, стоит ею воспользоваться и для экономии, и для повышения уровня защиты от взлома. 


Проверенные скрипты

При загрузке дополнительных программ и скриптов стоит использовать только лицензионное ПО. Скачивать данные стоит только с официальных ресурсов — иначе есть риск, что вы своими руками «занесете» на сайт вирус, шелл или бекдор — и после этого риск взлома ресурса значительно возрастет.


Защитные плагины

Возможности CMS по защите сайта от взлома можно расширить путем установки дополнительных плагинов. Выбор их достаточно обширен, функционал разнообразен — так что можно найти решения и для «фоновой» защиты от вирусов, и для систематического эффективного сканирования, и для создания резервных копий важной информации.

Примеры таких плагинов:

  • Wordfence

  • iThemes Security

  • Sucuri Security

Некоторые плагины универсальны, некоторые — совместимы только с конкретными CMS.


Заключение

Какая бы технология ни использовалась для взлома сайта, несанкционированный доступ к ресурсу может причинить значительный ущерб (и финансовый, и репутационный). При этом защищаться от взлома нужно комплексно, начиная от выбора хостинга и подбора достаточно защищенной CMS и заканчивая регулярной сменой паролей. Только в этом случае все вероятные направления атаки будут перекрыты — и риск взлома будет минимальным.